• firewalld

    firewalld

    firewalld服务

    	1)centos7上引入新的iptables前端管理服务工具firewalld
	2)firewalld通过前端管理工具:firewall-cmd和firewall-config,其功能更强大更完善,因此其规则会更复杂。
	3)firewalld是配置和监控防火墙规则的系统守护进程,可以实现iptables,ip6tables,ebtables的功能
	4)firewalld服务由firewalld 包提供
	5)firewalld支持划分区域zone, 每个zone 可以设置独立的防火墙规则
	6)归入zone 顺序:
		先根据数据包中源地址,将其纳为某个zone
		纳为网络接口所属zone
		纳入默认zone ,默认为public zone, 管理员可以改为其它zone
	7)网卡默认属于public zone,lo网络接口属于trusted zone

    firewalld zone 分类

    	zone 名称 	默认配置
	trusted 	允许所有流量
	home 	拒绝除和传出流量相关的,以及ssh,mdsn,ipp-client,samba-client,dhcpv6-client预定义服务之外其它所有传入流量
	internal 	和home相同
	work 	拒绝除和传出流量相关的,以及ssh,ipp-client,dhcpv6-client预定义服务之外的其它所有传入流量
	public 	拒绝除和传出流量相关的,以及ssh,dhcpv6-client预定义服务之外的其它所有传入流量,新加的网卡默认属于public zone
	external 	拒绝除和传出流量相关的,以及ssh预定义服务之外的其它所有传入流量,属于external zone的传出ipv4流量的源地址将被伪装为传出网卡的地址。
	dmz 	拒绝除和传出流量相关的,以及ssh预定义服务之外的其它所有传入流量
	block 	拒绝除和传出流量相关的所有传入流量
	drop 	拒绝除和传出流量相关的所有传入流量(甚至不以ICMP错误进行回应)

    预定义服务

    	服务名称 	配置
	ssh 	Local SSH server. Traffic to 22/tcp
	dhcpv6-client 	Local DHCPv6 client. Traffic to 546/udp on the fe80::/64 IPv6 network
	ipp-client 	Local IPP printing. Traffic to 631/udp.
	samba-client 	Local Windows file and print sharing client. Traffic to 137/udp and 138/udp.
	mdns  	Multicast DNS (mDNS) local-link name resolution. Traffic to 5353/udp to the 224.0.0.251 (IPv4) or ff02::fb (IPv6) multicast addresses.

    firewalld 配置

    	firewall-cmd --get-services  查看预定义服务列表
	/usr/lib/firewalld/services/*.xml 预定义服务的配置 
	三种配置方法
		firewall-config  (firewall-config 包)图形工具
		firewall-cmd  (firewalld 包)命令行工具
		/etc/firewalld  配置文件,一般不建议

    firewalld-cmd命令选项

    	--get-zones 	列出所有可用区域
	--get-default-zone 	查询默认区域
	--set-default-zone=<ZONE> 	设置默认区域
	--get-active-zones 	列出当前正使用的区域
	--add-source=<CIDR>[--zone=<ZONE>] 	添加源地址的流量到指定区域,如果无--zone=  选项,使用默认区域
	--remove-source=<CIDR> [--zone=<ZONE>] 	从指定区域中删除源地址的流量,如果无--zone=  选项,使用默认区域
	--add-interface=<INTERFACE>[--zone=<ZONE>] 	添加来自于指定接口的流量到特定区域,如果无--zone=  选项,使用默认区域
	--change-interface=<INTERFACE>[--zone=<ZONE>] 	改变指定接口至新的区域,如果无--zone=  选项,使用默认区域
	--list-all [--zone=<ZONE>]  	列出指定区域的所有配置信息,包括接口,源地址,端口,服务等,如果无--zone= 选项,使用默认区域
	--add-service=<SERVICE> [--zone=<ZONE>]  	允许服务的流量通过,如果无--zone=  选项,使用默认区域
	--add-port=<PORT/PROTOCOL>[--zone=<ZONE>] 	允许指定端口和协议的流量,如果无--zone=  选项,使用默认区域
	--remove-service=<SERVICE> [--zone=<ZONE>] 	从区域中删除指定服务,禁止该服务流量,如果无--zone= 选项,使用默认区域
	--remove-port=<PORT/PROTOCOL>[--zone=<ZONE>] 	从区域中删除指定端口和协议,禁止该端口的流量,如果无--zone=  选项,使用默认区域
	--reload 	删除当前运行时配置,应用加载永久配置

    firewall-cmd 命令示例

    	查看默认zone
		firewall-cmd --get-default-zone
	默认zone 设为dmz
		firewall-cmd --set-default-zone=dmz
	在internal zone 中增加源地址192.168.0.0/24 的永久规则
		firewall-cmd --permanent --zone=internal --
		add-source=192.168.0.0/24
	在internal zone 中增加协议mysql 的永久规则
		firewall-cmd --permanent –zone=internal --add-service=mysql
	加载新规则以生效
		firewall-cmd --reload

    其他规则

    	当基本firewalld 语法规则不能满足要求时,可以使用以下更复杂的规则
	rich-rules  富规则,功能强, 表达性语言
	Direct configuration rules 直接规则,灵活性差
	帮助:man 5 firewalld.direct

    管理rich 规则

    	1)rich 规则比基本的firewalld 语法实现更强的功能,不仅实现允许/拒绝,还可以实现日志syslog 和auditd ,也可以实现端口转发,伪装和限制速率
	2)rich 语法:
		rule
		[source]
		[destination]
		service|port|protocol|icmp-block|masquerade|forward-port
		[log]
		[audit]
		[accept|reject|drop]
	3)man 5 firewalld.richlanguage
	4)规则实施顺序:
		该区域的端口转发,伪造规则
		该区域的日志规则
		该区域的允许规则
		该区域的拒绝规则
	5)每个匹配的规则生效,所有规则都不匹配,该区域默认规则生效
	6)rich 规则选项
		选项 	描述
		--add-rich-rule='<RULE>' 	Add <RULE> to the specified zone, or the default zone if no zone is specified.
		--remove-rich-rule='<RULE>' 	Remove <RULE> to the specified zone, or the default zone if no zone is specified.
		--query-rich-rule='<RULE>' 	Query if <RULE> has been added to the specified zone, or the default zone if no zone is specified.Returns 0 if the rule is present, otherwise 1.
		--list-rich-rules 	Outputs all rich rules for the specified zone, or the default zone if no zone is specified.
		rich 规则示例
			1》拒绝从192.168.0.11 的所有流量,当address 选项使用source 或destination 时,必须用family= ipv4 |ipv6
				firewall-cmd --permanent --zone=classroom --add-rich-rule='rule family=ipv4 source address=192.168.0.11/32 reject'
			2》限制每分钟只有两个连接到ftp 服务
				firewall-cmd --add-rich-rule=‘rule service name=ftp limit value=2/m accept’
			3》抛弃esp( IPsec体系中的一种主要协议)协议的所有数据包 
				firewall-cmd --permanent --add-rich-rule='rule protocol value=esp drop'
			4》接受所有192.168.1.0/24 子网端口范置7900-7905 的TCP 流量 
				firewall-cmd --permanent --zone=vnc --add-rich-rule='rule family=ipv4 source address=192.168.1.0/24 port port=7900-7905 protocol=tcp accept'
	7)rich日志规则 
		1》log [prefix="<PREFIX TEXT>" [level=<LOGLEVEL>] [limit value="<RATE/DURATION>"]
		2》<LOGLEVEL>  可以是emerg,alert, crit, error, warning, notice, info, debug.
		3》<DURATION> s :秒, m :分钟, h :小时, d :天
		4》audit [limit value="<RATE/DURATION>"]
		5》rich 日志规则实例
			1. 接受ssh 新连接,记录日志到syslog 的notice 级别,每分钟最多三条信息
				firewall-cmd --permanent --zone=work --add-rich-rule='rule service name="ssh" log prefix="ssh " level="notice" limit value="3/m" accept
			2. 从2001:db8::/64 子网的DNS 连接在5 分钟内被拒绝,并记录到日志到audit, 每小时最大记录一条信息。
				firewall-cmd --add-rich-rule='rule family=ipv6 source address="2001:db8::/64" service name="dns" audit limit value="1/h" reject' --timeout=300
	8)规则示例
		firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=172.25.X.10/32 service name="http" log level=notice prefix="NEW HTTP "limit value="3/s" accept'
		firewall-cmd --reload
		tail -f /var/log/messages
		curl http://serverX.example.com

    伪造和端口转发

    	NAT 网络地址转换,firewalld 支持伪造和端口转发两种NAT方式
	伪造NAT:
		firewall-cmd --permanent --zone=<ZONE> --add-masquerade
		firewall-cmd --permanent --zone=<ZONE> --add-rich-rule='rule family=ipv4 source address=192.168.0.0/24 masquerade'
	端口转发:
		将发往本机的特定端口的流量转发到本机或不同机器的另一个端口,通常要配合地址伪造才能实现。
		firewall-cmd --permanent --zone=<ZONE> --add-forward-port=port=<PORTNUMBER>:proto=<PROTOCOL>[:toport=<PORTNUMBER>][:toaddr=<IPADDR>]
		说明:toport=  和toaddr=  至少要指定一个
		示例:
			转发传入的连接513/TCP ,到访火墙的132/TCP 到public zone的192.168.0.254
			firewall-cmd --permanent --zone=public --add-forward-port=port=513:proto=tcp:toport=132:toaddr=192.168.0.254
	rich规则:
		forward-port port=<PORTNUM> protocol=tcp|udp [to-port=<PORTNUM>] [to-addr=<ADDRESS>]
		示例:
			转发从192.168.0.0/26 来的,发往80/TCP 的流量到防火墙的
			端口8080/TCP
			firewall-cmd --permanent --zone=work --add-rich-rule='rule family=ipv4 source address=192.168.0.0/26 forward-port port=80 protocol=tcp to-port=8080'
			firewall-cmd --permanent --add-rich-rule 'rule family=ipv4 source address=172.25.X.10/32 forward-port port=443 protocol=tcp to-port=22'
			firewall-cmd --reload
			ssh -p 443 serverX.example.com
  • 相关阅读:
    Ajax 发送OPTION请求
    用cssText批量修改样式
    原生js操作HTML DOM
    每天干的啥?(2018.09)
    每天干的啥?(2018.08)
    每天干的啥?(2018.07)
    每天干的啥?(2018.06)
    每天干的啥?(2018.05)
    每天干的啥?(2018.04)
    每天干的啥?(2018.03)
  • 原文地址:https://www.cnblogs.com/shenxm/p/8459442.html
Copyright © 2020-2023  润新知